Réutilisation et partenariat public-privé pour l’authentification mobile et le portefeuille numérique

Les services partagés, la réutilisation multifonctionnelle de services et composants électroniques ainsi que les partenariats publics-privés constituent des atouts pour l’administration en ligne et l’eSanté. Je dirige moi-même deux institutions publiques de sécurité sociale, la Banque-Carrefour de la Sécurité Sociale (BCSS) et la Plate-forme eHealth, ainsi qu’un partenariat à but non lucratif entre services publics, Smals asbl. Tous les services partagés et composants pertinents développés par ces organisations peuvent être (ré)utilisés gratuitement et sont documentés publiquement sur les sites web respectifs, comme les services de base offerts par la Plate-forme eHealth ou le catalogue ReUse de Smals asbl. Je suis un co-initiateur du G-Cloud, qui offre de nombreux services partagés aux services publics, ce qui permet de réaliser d’importantes économies.

Par le passé, j’ai été le promoteur de partenariats (de fait) publics-privés dans le cadre de plusieurs initiatives, où les tâches sont réparties entre les intervenants sur la base des compétences. C’est le cas de la carte d’identité électronique (le contrôle de l’dentité est effectué par la commune, la carte et les certificats électroniques sont créés par des entreprises privées), de l’authentification mobile (collaboration avec Itsme, par exemple) ou de l’eBox citoyen (collaboration avec BPost Banque, Doccle, KBC et Trusto, par exemple). Si un partenariat public-privé de fait est lancé, il est bien entendu important que la répartition des tâches entre les différents partenaires et les conditions du partenariat soient clairement convenues et que chaque partenaire les respecte également par la suite.

Coopération en vue de la preuve d’identité mobile

En ce qui concerne la preuve mobile de votre identité, également appelée authentification mobile (c’est-à-dire prouver qui vous êtes et prouver que vous êtes bien celui que vous prétendez être), un cadre a été élaboré en 2017 pour un partenariat public-privé de fait. La détermination de l’identité correcte de chaque personne résidant en Belgique, et la délivrance d’une carte d’identité électronique à chacune de ces personnes sont considérées comme une tâche publique. La mise à disposition d’un moyen par lequel une personne résidant en Belgique peut s’authentifier de manière sécurisée à partir d’un appareil mobile, après une vérification initiale de l’identité sur base de la carte d’identité électronique et une connexion sécurisée de l’identité prouvée au moyen d’authentification mobile, est attribuée à un ou plusieurs partenaires privés qui répondent à un certain nombre de critères fixés par arrêté royal.

Ces accords de partage des tâches ont été conclus lorsqu’Itsme a voulu lancer sa solution d’authentification mobile en 2017. Ce faisant, les autorités ont adhéré à l’initiative Itsme et ont laissé la place à d’autres initiatives privées. Dans le cadre du partenariat public-privé de fait avec Itsme lancé en 2017, les accords suivants ont été conclus à l’époque :

  • les autorités, les institutions publiques et cooperantes de sécurité sociale ainsi que les acteurs du secteur de la santé veillent à ce que l’authentification mobile via Itsme soit possible pour toutes les applications électroniques qu’ils proposent, et pour lesquelles une authentification est nécessaire
  • à cette fin, Itsme est inclus comme moyen d’authentification dans le Service Fédéral d’Authentification (Federal Authentication Service ou FAS), le service de base offert par le SPF BOSA auquel font appel les applications des institutions publiques et les institutions du secteur social et de la santé pour l’authentification
  • pour l’utilisation des moyens d’authentification mobile (tels que Itsme) pour les applications des institutions publiques et des institutions du secteur social et de la santé, un financement annuel est prévu, qui est fixé dans l’arrêté royal précité; ce financement est basé sur le nombre d’utilisateurs uniques qui utilisent les moyens d’authentification mobile au moins une fois au cours d’une année civile, avec un maximum de 450 000 € pour l’ensemble des moyens d’authentification mobile
  • la réglementation est adaptée afin que les fournisseurs de moyens d’authentification mobiles puissent, sous certaines conditions, utiliser le numéro d’identification du Registre national et le numéro BCSS pour l’identification unique des utilisateurs
  • Itsme est soutenu par les autorités pour obtenir la reconnaissance de ses moyens d’authentification mobile au plus haut niveau dans le cadre du règlement eIDAS.

De cette façon, les autorités et les institutions du secteur social et de la santé ont contribué de manière très significative à la forte pénétration actuelle du marché et à l’attrait international d’Itsme. On estime que 80% des 6,5 millions d’utilisateurs actuels d’Itsme se sont inscrits pour utiliser les applications des autorités, du secteur social et de la santé. En 2021, la Société fédérale de participation et d’investissement (SFPI) a apporté un soutien supplémentaire à Itsme en injectant 14,5 millions d’euros de capital.

Accords existants sous pression

Bien entendu, les fondements technologiques d’Itsme ont évolué depuis 2017. Entre autres, la possibilité d’appeler l’application d’authentification mobile d’Itsme directement depuis une autre application mobile a été ajoutée. Cela augmente la convivialité et évite de devoir passer par un certain nombre d’écrans intermédiaires pour cliquer sur Itsme via un détour par le FAS.

Itsme facture un supplément pour diverses applications des autorités publiques ou des institutions du secteur social et de la santé (telles que les plateformes CovidSafe, MyBenefits ou de télémédecine) si elles souhaitent faire appel à l’application d’authentification mobile d’Itsme d’appli à appli. Ceci est contraire aux accords passés avec Itsme en 2017. Pour l’année 2021, Itsme a facturé aux différentes autorités au moins 800 000 €. Si Itsme maintient cette politique à l’égard de chaque nouvelle application mobile provenant des autorités ou des institutions sociales et de santé, cette facture risque d’augmenter considérablement.

Bien entendu, il est important qu’Itsme dispose des moyens financiers nécessaires pour offrir un service de qualité. Sur la base des informations disponibles, il devrait toutefois être possible d’offrir un moyen d’authentification mobile fiable et performant à un coût bien inférieur au coût actuel du moyen d’authentification Itsme. Les contributions apportées par l’Etat à Itsme, mentionnées plus haut, qu’elles soient financières ou autres, me semblent être une compensation plus que suffisante pour l’utilisation d’Itsme comme moyen d’authentification mobile sous toutes ses formes (via le FAS ou app-to-app) par les applications des pouvoirs publics, du secteur social et du secteur de la santé.

Je ne pense pas qu’il soit correct qu’Itsme essaie d’utiliser sa position dominante actuelle sur le marché de l’authentification mobile, qui résulte en grande partie du soutien des autorités, du secteur social et de la santé, pour répercuter des coûts supplémentaires, en violation des accords conclus en 2017 et fixés par arrêté royal. Je regrette qu’Itsme ne réponde pas aux invitations répétées à évaluer de manière critique sa structure de coûts actuelle et à utiliser des technologies tout aussi fiables et beaucoup moins coûteuses. Les autorités, en tant que principal actionnaire d’Itsme, sont en droit d’attendre qu’un tel exercice ait lieu et que le financement convenu en 2017 reste suffisant en tant que rémunération des services d’Itsme aux autorités et aux secteurs social et de la santé.

Je suis tout à fait d’accord avec les décideurs qui soutiennent que, pour un service de base comme l’authentification mobile, les autorités ne devraient pas dépendre d’un acteur privé du marché qui détermine sa politique de prix de manière unilatérale grâce à sa position de monopole de fait, et qu’il devrait y avoir des garanties structurelles pour la continuité d’un service de haute qualité dans l’intérêt public, pour l’ancrage belge, pour le contrôle des coûts et le respect des accords conclus. Je regretterais toutefois si, dans le domaine de l’authentification mobile, les services partagés et la réutilisation sous la forme d’un partenariat public-privé de fait ne pouvaient plus être utilisés. Cependant, les autorités belges et les institutions du secteur social et de la santé ne doivent pas accepter que l’évolution des services numériques conviviaux soit ralentie par la loyauté envers un partenaire privé dans lequel ils ont beaucoup investi, si ce dernier continue à ne pas tenir suffisamment compte des garanties structurelles mentionnées.

Actualisation 10 août 2022

Je me réjouis qu’au cours des dernières semaines, la confiance se soit accrue entre Itsme et l’administration publique pour rechercher des solutions permettant de répondre aux préoccupations susmentionnées. Je suis disponible pour y apporter une contribution constructive et, par exemple, de m’efforcer d’éviter certains coûts d’Itsme en offrant à Itsme des services supplémentaires de la part du secteur public, comme les mutations du registre national ou du registre des cartes d’identité électroniques.

Et quid du portefeuille numérique ?

Je constate que le concept de « portefeuille numérique » est un concept global qui englobe diverses fonctionnalités. Tout le monde ne le comprend pas de la même manière, ce qui conduit trop souvent à une confusion babylonienne lors des discussions à ce sujet. Dans les documents, je lis notamment les fonctionnalités suivantes pour une application mobile de portefeuille numérique :

  • prouver l’identité (authentification)
  • prouver certaines qualités et/ou relations
  • effectuer des paiements électroniques
  • sauvegarder de manière électronique des documents qui peuvent être envoyés, et qui, sans connexion internet, via le scanning
    • peuvent être lus dans un format structuré et reproductible
    • peuvent être évalués en termes d’authenticité et de validité
  • communication électronique
  • accès intégré aux services électroniques

Pour l’utilisateur, ces différentes fonctionnalités doivent être accessibles de manière conviviale et intégrée. Toutefois, cela ne signifie pas nécessairement qu’elles doivent toutes être intégrées dans une seule application. D’un point de vue architectural, il est souvent préférable d’incorporer les différentes fonctionnalités dans un certain nombre de sous-applications qui s’appellent les unes les autres et qui peuvent être utilisées chacune de manière multifonctionnelle.

En outre, l’introduction du portefeuille numérique ne peut certainement pas conduire à une situation où le citoyen lui-même est à nouveau chargé de fournir des informations que les services publics ou les institutions de sécurité sociale peuvent récupérer les uns chez les autres. Le portefeuille numérique ne peut donc pas être une raison pour remettre en cause les principes de collecte unique et de partage de données par les services publics et les institutions de sécurité sociale, et laisser le citoyen se déplacer à nouveau avec des documents électroniques stockés dans le portefeuille numérique, comme il le faisait auparavant avec des documents papier. Les institutions publiques et les institutions de sécurité sociale ne devraient pas demander au citoyen de fournir les informations dont elles ont besoin pour l’exécution de leurs tâches par le biais des documents stockés dans le portefeuille numérique, car elles peuvent les récupérer dans leurs bases de données authentiques respectives.

Réutilisation de ce qui a été développé au niveau européen dans le cadre de la lutte contre la pandémie de COVID-19

Pour la preuve d’identité mobile et le paiement électronique, je pense qu’il existe déjà des applications de bonne qualité. Il suffit de s’entendre sur des normes internationales ou européennes pour pouvoir les appeler à partir d’autres applications.

Pour la preuve des qualités (par exemple, la personne concernée est-elle médecin?) et des relations (par exemple, le médecin concerné a-t-il une relation de soins avec un patient déterminé), il ne me semble pas judicieux d’enregistrer des informations dans une application. Après tout, ces informations sont volatiles et peuvent changer au fil du temps (par exemple, un médecin peut être suspendu ou prendre sa retraite, un patient peut mettre fin à sa relation de soins avec un médecin). Il est préférable de stocker et d’extraire ces informations dans des bases de données authentiques et de les consulter dans leur forme actuelle. Cela se fera principalement dans le cadre de la gestion des utilisateurs et des accès : qui peut avoir accès à quelles données concernant quelles personnes, dans quelles situations et pour quelle période. Dans les administrations publiques, dans le secteur social et dans le secteur de santé belges, cette gestion des accès est organisée depuis des années sur la base de la norme internationale XACML dans le cadre du programme CSAM. Je ne vois aucune raison de stocker des preuves de qualités ou de relations dans un portefeuille numérique.

Pour la communication électronique, les citoyens et les entreprises disposent de l’eBox. Par ailleurs, GovApp a récemment été lancé comme moyen de communication convivial et sécurisé entre les autorités et les citoyens, en remplacement de la transmission par SMS, coûteuse, non sécurisée et très limitée.

Pour le portefeuille numérique, il ne reste donc qu’à développer la fonctionnalité de stockage électronique de documents qui peuvent être envoyés et qui, sans connexion Internet, peuvent être lus sous une forme structurée et reproductible, et dont l’authenticité et la validité peuvent être évaluées. En fait, une application existe déjà pour cela, non seulement en Belgique, mais dans tous les pays de l’Union européenne et dans une quarantaine d’autres pays du monde. Il s’agit plus précisement des applications qui permettent de télécharger et de stocker localement les certificats de vaccination, de test et de rétablissement COVID-19, avec un code QR qui contient le contenu du certificat et qui est signé électroniquement par l’émetteur du certificat. En Belgique, il s’agit de l’application CovidSafe.

Il est très facile de faire évoluer ces applications, qui sont toutes construites sur la base de la même application de référence et utilisent des normes communes, vers des applications capables de stocker d’autres documents, comme une carte d’identité, un permis de conduire ou une carte européenne d’assurance maladie. Il suffit de normaliser et de définir la structure électronique de ces autres documents.

De plus, tous les pays de l’Union européenne et une quarantaine d’autres pays dans le monde disposent également d’une application de numérisation, qui est aussi chaque fois construite sur la base de la même application de référence et utilise des normes communes, et avec laquelle le code QR des certificats peut être lu. En Belgique, il s’agit de l’application (entre-temps désactivée) CovidScan.

L’Union européenne dispose d’une base de données dans laquelle sont stockées les clés de signature publiques de tous les émetteurs de certificats, qui peuvent être téléchargées dans les applications de numérisation pour vérifier la validité de la signature électronique avec laquelle le code QR lu a été signé. Si le fait que cette base de données soit située dans l’Union européenne pose problème, les clés de signature publiques sont accessibles via la technologie blockchain.

Bien sûr, il est conseillé de changer le nom des applications de stockage et de numérisation liées à la COVID-19, mais la technologie, les standards, l’encadrement juridique ainsi que le trust framework peuvent parfaitement être réutilisés dans une très large mesure. L’Union européenne en général et la Belgique en particulier pourraient donc progresser très rapidement dans ce domaine sans dépenser des millions d’euros.